버려진 Outlook 애드인 AgreeTo를 해커가 탈취하여 피싱 공격을 감행, 4000명의 사용자 계정 탈취 성공. 마이크로소프트의 허술한 보안 시스템이 문제.
Outlook 애드인 보안 구멍, 4000명 계정 탈취
2026년, 마이크로소프트 Outlook의 허술한 애드인 마켓플레이스 보안이 도마 위에 올랐습니다. 한 해커가 버려진 Outlook 애드인 ‘AgreeTo’를 탈취하여 대규모 피싱 공격을 감행, 4000명 이상의 사용자 계정을 탈취하는 데 성공했습니다. 보안 업체 Koi Security의 조사 결과, 간단한 취약점을 악용한 공격으로 밝혀졌습니다.
AgreeTo 애드인 탈취 과정
AgreeTo는 2022년에 등장한 회의 스케줄링 도구였으나, 개발자에 의해 버려진 애드인이었습니다. 하지만 마이크로소프트 마켓플레이스에는 여전히 리스팅되어 있었고, 해커는 이 점을 노렸습니다. 애드인의 매니페스트 파일은 간단한 XML 형태로, 애드인의 이름, 설명, 다운로드 URL, 필요한 권한 등을 담고 있습니다. 문제는 마이크로소프트가 매니페스트 파일만 검토하고, 실제 코드는 검사하지 않는다는 점입니다.
허술한 마이크로소프트의 보안 시스템
해커는 버려진 AgreeTo 애드인의 서브도메인 URL을 확보하고, 해당 URL에 피싱 페이지를 연결했습니다. 기존 매니페스트 파일은 이메일 읽기 및 수정 권한을 해커에게 부여했습니다. 마이크로소프트는 이미 검토를 마친 애드인이기에, 해커는 별도의 검토 없이 피싱 공격을 시작할 수 있었습니다.
피싱 공격과 피해 규모
피싱 페이지는 가짜 마이크로소프트 로그인 페이지로, 사용자 계정 정보를 탈취하는 데 사용되었습니다. 탈취된 계정 정보와 IP 주소는 텔레그램 봇을 통해 해커에게 전달되었습니다. Koi Security는 공격 인프라를 조사하여 4000명의 피해자를 확인하고, 계정 정보가 유출되었음을 경고했습니다.
추가적인 공격 정황
해커는 AgreeTo 외에도 12개의 피싱 키트를 운영하며, 다양한 은행과 웹메일 제공업체를 사칭한 것으로 밝혀졌습니다. 신용카드 번호, CVV, PIN, 은행 보안 질문 등 민감한 정보가 탈취되었으며, 이는 Interac e-Transfer 시스템을 이용한 금전 갈취에 사용되었을 가능성이 높습니다.
마이크로소프트의 미흡한 대응
이번 사건은 마이크로소프트의 애드인 배포 아키텍처의 취약점을 드러냅니다. 2019년에 이미 해당 취약점이 지적되었음에도 불구하고, 마이크로소프트는 개선에 소극적인 태도를 보였습니다. AgreeTo는 마이크로소프트 마켓플레이스에서 발견된 최초의 악성 Outlook 애드인으로 추정됩니다.
사용자를 위한 권고 사항
AgreeTo 애드인은 2026년 2월 12일에 마이크로소프트 마켓플레이스에서 삭제되었습니다. 아직 AgreeTo를 사용하고 있다면 즉시 제거하고, 마이크로소프트 계정 비밀번호를 변경해야 합니다. AgreeTo의 크롬 확장 프로그램은 2024년에 작동을 멈췄으며, 구글은 2025년에 해당 확장 프로그램을 삭제했습니다.
